လံုၿခံဳေရးအားနည္းမႈေၾကာင့္ Facebook ႏွင့္ Google သံုးစြဲသူ အခ်က္အလက္ ခိုးယူခံရႏုိင္

ပုိ႔စ္တင္ခ်ိန္ - 5/14/2014 09:16:00 PM

က်ယ္က်ယ္ျပန္႔ျပန္႔ အသံုးျပဳေနၾကသည့္ လံုၿခံဳေရးစံသတ္မွတ္ခ်က္ ႏွစ္ခုရွိ အားနည္းခ်က္ေၾကာင့္ Google, Microsoft, Facebook, Twitter ႏွင့္ အျခားအြန္လိုင္း ဝန္ေဆာင္မႈမ်ားမွ account အခ်က္အလက္မ်ားကို မည္သူမဆို ရယူအသံုးျပဳေနေၾကာင္း သိရသည္။

Covert Redirect ဟု ေခၚသည့္ အားနည္းခ်က္သည္ open-source session-authorization protocol ႏွစ္ခုျဖစ္သည့္ OAuth 2.0 ႏွင့္ OpenID တြင္ ျဖစ္ေပၚျခင္းျဖစ္သည္။

အဆုိပါ စံသတ္မွတ္ခ်က္ႏွစ္ခုကို အင္တာနက္တစ္ဝန္း အသံုးခ်လ်က္ရွိၿပီး သံုးစြဲသူမ်ားအား ဝက္ဖိုရမ္က့ဲသုိ႔ေသာ ဆုိက္မ်ားကို account အသစ္တစ္ခု ဖန္တီးစရာမလိုဘဲ Facebook ႏွင့္ Twitter account ျဖင့္ log in ဝင္ေရာက္ေစႏုိင္သည္။

တုိက္ခိုက္သူမ်ားသည္ အဆိုပါအားနည္းခ်က္ကို အသံုးခ်ကာ တရားဝင္ဝက္ဘ္ဆိုက္မ်ားမွ phishing တုိက္ခိုက္မႈမ်ားအေနျဖင့္ တုိက္ခိုက္ႏုိင္ေၾကာင္း စင္ကာပူရွိ နန္ယန္းနည္းပညာတကၠသိုလ္မွ Ph.D ေက်ာင္းသား Wang Jing က ဆိုခဲ့သည္။

Wang ၏အဆိုအရ ၎အားနည္းခ်က္အတြက္ ျပင္ဆင္မႈကို မၾကာခင္အတြင္း ရယူႏုိင္ဖြယ္ရွိေၾကာင္း Google, Microsoft, Facebook, Twitter, LinkedIn ကဲ့သို႔ေသာ ကုမၸဏီမ်ားႏွင့္ cilent ကုမၸဏီမ်ားကလည္း ၎ျပႆနာကို ျပင္ဆင္ရန္အတြက္ တာဝန္ယူျခင္းမရွိေၾကာင္း သိရသည္။

Covert Redirect ၏ အႀကီးမားဆံုးေသာ အႏၲရာယ္မွ အႏၲရာယ္ ရွိသည့္ ဝက္ဘ္ဆိုက္မ်ားႏွင့္ ခ်ိတ္ဆက္ထားေသာ link မ်ားပါဝင္သည့္ email message မ်ားကို အသံုးျပဳသည့္ phishing တုိက္ခုိက္မႈျဖင့္ login  အခ်က္အလက္မ်ားကို ဆိုက္ဘာဒုစ႐ိုက္မ်ား ရယူႏုိင္ျခင္းျဖစ္သည္။

သာမန္ phishing တိုက္ခိုက္မႈသည္ အႏၲရာယ္ရွိသည့္ URL ကို သတိထား႐ံုျဖင့္သိရွိႏုိင္ေသာ္လည္း Covert Redirect သည္ တုိက္ခိုက္သူမ်ားက တကယ့္အစစ္အမွန္ ဝက္ဘ္ဆိုက္ကို အသံုးျပဳၿပီး အႏၲရာယ္ရွိသည့္ login popup dialogue box ျဖင့္ တိုက္ခိုက္ႏုိင္ေၾကာင္း သိရသည္။

ေနာင္ေနာင္
Ref: FoxNews
Internet Journal